（計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)專業(yè)論文）ids測(cè)試系統(tǒng)aoles的設(shè)計(jì)與實(shí)現(xiàn).pdf

摘要 摘要 1 d s 測(cè)試系統(tǒng)a o l e s 的設(shè)計(jì)與實(shí)現(xiàn) 汪洋 龔儉東南大學(xué) 隨著對(duì)入侵檢測(cè)技術(shù)研究的發(fā)展 出現(xiàn)了許多入侵檢測(cè)系統(tǒng) 因此對(duì)各種入侵檢測(cè)系統(tǒng) 的功能和性能評(píng)估也形成了需求 在需求的推動(dòng)之下 對(duì)于i d s 系統(tǒng)的測(cè)試也相應(yīng)處于不 斷發(fā)展之中 1 9 9 6 年n i c h o l a sj p u k e t z a 等人提出通過模擬被監(jiān)測(cè)系統(tǒng)上用戶韻行為來測(cè)試 i d s 系統(tǒng)的方法 1 9 9 8 1 9 9 9 年m i t 的l i c o l nl a b o r a t o r y 通過模擬美軍空軍基地的日常網(wǎng) 絡(luò)流量進(jìn)行了i d s 系統(tǒng)豹兩次測(cè)試 2 0 0 0 年時(shí) m i t 在測(cè)試數(shù)據(jù)中加入了對(duì)于d d o s d i s t r i b u t e dd e n yo fs e r v i c e 攻擊的模擬 2 0 0 1 年t e r r e n e ec h a m p i o n 等人專門對(duì)于i d s 系統(tǒng)檢測(cè)d d o s 攻擊的能力進(jìn)行了測(cè)量 同時(shí)還考慮了i d s 系統(tǒng)響應(yīng)功能的評(píng)測(cè) 與此同 時(shí) 一些商業(yè)廠家也給出了自己的入侵檢測(cè)系統(tǒng)的評(píng)估方法 本文在對(duì)已有測(cè)試方法研究的基礎(chǔ)上指出在測(cè)試過程中背景流量韻應(yīng)用方式對(duì)測(cè)試結(jié) 果有重要的影響 不使用背景流量只能進(jìn)行功能測(cè)試 不能反映被測(cè)系統(tǒng)在實(shí)際環(huán)境中的工 作情況 使用重復(fù)相同的或髓機(jī)的背景流量不適用于測(cè)試進(jìn)行協(xié)議內(nèi)容分析的i d s 系統(tǒng) 使用從真實(shí)環(huán)境中采集的背景流量 測(cè)試結(jié)果會(huì)受到背景流量中未知數(shù)據(jù)韻干擾 且牽涉到 數(shù)據(jù)的隱私問題 因此使用測(cè)試平臺(tái)模擬實(shí)際的網(wǎng)絡(luò)流量是一種很好的解決方案 本文根據(jù)已有的測(cè)試工作 列舉了一組用于i d s 測(cè)試的重要指標(biāo) 這組指標(biāo)可以被按 照功能測(cè)試 性能測(cè)試和穩(wěn)定性測(cè)試分為三類 并且根據(jù)各種測(cè)試指標(biāo)席9 定了一個(gè)較為完 整的評(píng)估指標(biāo)集 該指標(biāo)集是功能指標(biāo) 性能指標(biāo)和穩(wěn)定性指標(biāo)的量化體現(xiàn) 本文指出n i c h o l a sj p u k e t z a 等人的評(píng)估工作和m i t 的評(píng)估工作在構(gòu)造網(wǎng)絡(luò)背景流量時(shí) 采用的是自項(xiàng)向下的方法 既通過模擬各種應(yīng)用層程序的行為來生成網(wǎng)絡(luò)流量 這種方法受 到應(yīng)用層程序功能復(fù)雜和數(shù)量眾多的制約 在實(shí)現(xiàn)上有很大的困難 并且這種方法也不能有 效的控制背景流量的大小和概率特性 本文提出了一種模擬協(xié)議棧的工作過程 使用概率參 數(shù)和協(xié)議模板相結(jié)合來構(gòu)造網(wǎng)絡(luò)背景流量的方法 實(shí)驗(yàn)數(shù)據(jù)表明本文的背景流量構(gòu)造方法能 夠克服已有背景流量構(gòu)造方法遇到的困難 通過使用概率參數(shù)可以很好韻控制背景流量的大 小平 流量中的報(bào)文到達(dá)率 通過使用模板可以完成特定應(yīng)用層協(xié)議的交互過程和協(xié)議內(nèi)容的 模擬 本文構(gòu)造的背景流量可以很好的模擬目前常見的網(wǎng)絡(luò)環(huán)境 本文設(shè)計(jì)了入侵檢測(cè)系統(tǒng)測(cè)試平臺(tái)a o l e s 的體系結(jié)構(gòu) 接著對(duì)a o l e s 的測(cè)試數(shù)據(jù)生 成 測(cè)試數(shù)據(jù)播放和測(cè)試結(jié)果評(píng)分的相關(guān)算法分別進(jìn)行了介紹 在測(cè)試結(jié)果的評(píng)分過程中 a o l e s 通過引入同步點(diǎn)的概念來解決已有測(cè)試在評(píng)分上遇到的困難 依靠同步點(diǎn)來進(jìn)行評(píng) 分使得評(píng)分過程更加簡單和準(zhǔn)確 本文最后利用m i t 數(shù)據(jù)和a o l e s 數(shù)據(jù)對(duì)s n o r t 進(jìn)行了對(duì)比測(cè)試 測(cè)試結(jié)果表明由于攻 擊實(shí)例過于陳舊 使用m i t 的數(shù)據(jù)對(duì)目前主流的i d s 進(jìn)行測(cè)試不能取得有意義韻結(jié)果 而 a o l e s 的測(cè)試數(shù)據(jù)能夠?qū)θ肭謾z測(cè)系統(tǒng)進(jìn)行有效的測(cè)試 測(cè)試結(jié)果能夠很好的反映被測(cè)系 統(tǒng)的工作情況 關(guān)鍵詞 入侵檢測(cè)系統(tǒng) 背景流量 a o l e s 同步點(diǎn) a b s t r a c t a b s t r a c t t h e d e s i g na n di m p l e m e n t a t i o no f i d s t e s ts y s t e r n a o l e s w a n g y a n g g o n gj i a ns o u t h e a s tu n i v e r s i t y w mt h ed e v e l o p m e n to fi n t r u s i o nd e t e c t i o nt e c h n o l o g y m o r ea n dm o r ei d s s i n t r u s i o n d e t e c t i o ns y s t e m s a 陀b e i n gu s e d t h ef u n c t i o na n dp e r f o r m a n c eo fl d ss h o u l db ee v a l u a t e d t h sr e q u i r e m e n tp r o m o t e st h ed e v e l o p m e n to fi d se v a l u a t i o nt e c h n o l o g y l u1 9 9 6 n i c h o l a s j p u k e t z a e t a lu s e ds c r i p tt os i m u l a t eu s e rb e h a v i o r o fm o n i t o r e ds y s t e mt 0t e s ti d s i n1 9 9 8a n d 1 9 9 9 m i t sl i c o l nl a b o r a t o r ys i m u l a t e dt h ed a i l yn e t w o r kf l o wo f a l lu sa i rf o r c eb a s et ot e s t l d s l n2 0 0 0 m 疆a(chǎn) d d e dd e l o s d i s t r i b u t e dd e n yo f s e r v i c e d a t ai r i t et h ea t t a c kd a t a s e t i n2 0 0 1 t e r r e n c ec h a m p i o n s p e c i a l l ye v a l u a t e dt h ei d s sa b i l i t yt od e t e c td d o s a t t a c ka n dh i sw o r ka l s o e v a l u a t e dt h ea u t o m a t i cr e s p o n s ef u n c t i o no f t e s t e di d sa tt h es a m et i m e s o m eb u s i n e s sc o m p a n y a l s od e s c r i b e dt h e i ri d se v a l u a t i o nm e t h o dj ut h e s ey e a r s b a s e do nt h ek n o w ni d se v a l u a t i o nm e t h o d t h i sp a p e ri n d i c a t e s 也a th e wt h eb a c k g r o u n d f l o wu s e di nt h ee v a l u a t i o n d i r e c t l y a f f e c t st h ee v a l u a t i o nf e s u l t t h ee v a l u a t i o nw i t h o u t b a c k g r o u n df l o wc a l lo n l yb eu s e dt ot e s tt h ef u n c t i o no fi d s a n dt h er e s u l tc a nn o ts h o w t h e l d s ss t a t u si nr e a lw e r k i n ge n v i r o n m e n t t h es a m eo rr a n d o mb a c k g r o u n df l o wi sn o ta b l et ot e s t i d sw h i c ha n a l y s e st h ep r o t o c o lc o n t e n t u s i n gt h ed a t ac o l l e c t e df r o mr e a ln e t w o r ke n v i r o n m e n t m a y c a u s e p r o b l e m s s u c ha su n k o w n a t t a c k o r e x p o s u r e o f p r i v a t e i n f o r m a t i o n f r o m t h e s e d a t a s o t h a tu s i n gt e s t b e dt op r o d u c en e t w o r kb a c k g r o u n df l o wi sa l ll d e a lm e t h o d t h i sp a p e re n u m e r a t e sas e to fi d sb e n c h m a r km e t r i c s a l it h em e t r i c sc a l lb ec l a s s i f i e di n t o f u n c t i o nt e s tb e n c h m a r kp e r f o r m a n c et e s tb e n c h m a r ka n ds t a b i l i t yt e s tb e n c h m a r k t h i sp a p e r a l s ou s e st h e s eb e n c h m a r km e t r i c st od e s i g nab e n c h m a r km e t r i t ss e t n i c h o l a sj p u k e t z aa n dm 1 t g e n e r a t e d t e s tb a c k g r o u n df l o w sb y s i m u l a t i n gt h eb e h a v i o r so f a p p l i c a t i o np r o g r a m s b e c a u s et h e r e a r el o t so fa p p l i c a t i o np r o g r a m s a n de a c ho ft h e mh a s d i f f e r e n tf u n c t i o n s u s i n gt h i sm e t h o dt os i m u l a t eb a c k g r o u n df l o wi sv e r yc o s t l y t h i sm e t h o d a l s oc a nn o te f f e c t i v e t yc e n t r e lt h ef l o ws p e e da n di 塢o t h e rc h a r a c t e r i s t i c s t h i sp a p e rh a s d e s i g n e dam e t h o d w h i c hu s e dp m b a h i l i t ym o d e l a n dt e m p l a t ef i l et od e s c r i b et h ef e a t u r e so f b a c k g r o u n df l o wa n ds i m u l a t e dt h ef u n c t i o no fp r o t o c o ls t a c kt op r o d u c eb a c k g m u n df l o w t h e e x p e r i m e n tr e s u l ts h o w s t h a tp r o b a b i l i t ym o d e lc a n e f f e c t i v e l yc q q t r o lt h es p e e da n dp a c k e ta r r i v e r a t eo fb a c k g r o u n df l o w t h ee x p e r i m e n tr e s u l ta l s oi n d i c a t e st h a tw i t ht e m p l a t ef i l e t h ep r o c e s s a n dc o n t e n to f c o m m u n i c a t i o nc a nb es i m u l a t e da sw e l l t h i sp a p e rh a sd e s i g n e dt h eo v e r a l ls t r u c t u r eo fa o l e sa n di n t r o d u c e dt h em e t h o d so ft e s t d a t ac o n s t r u c t i o n t e s td a t ap l a y b a c ka n dt e s tr e s u l tb e n c h m a r k w h i t h i nt h eb e n c h m a r k a o l e s u s e ds y np o i n tt or e s o v l et h ed i 施c u l t ye n c o u n t e r e di nm i t st e s t t h i sm e t h o d e dh a sb e e ns h o w n t oh em o r es i m p l ea n da c c u r a t e a tl a s t t h i sp a p e ru s e dm t sd a t a s e ta n da 0 毛e s sd a t a s e tt o 把s ts n o r tc o n t r a s t i v e l y 羊魏e r e s u l ts h o w st h a tm i t sa t t a c kd a t ai so u 掰a t e da n ds h o u l dn o th eu s e dt ot e s tu pt od a t ei d s a o l e s st e s td a t ai sv a l i da n dr e s u l tc a ns h o wt h er e a ls t a t u so f t e s t e di d s k e y w o r d i n t r u s i o n d e t e c ts y s t e m b a c k g r o u n d f l o w a o l e s s y n p o i n t i i 東南大學(xué)學(xué)德論文獨(dú)麓性聲鹺 本人聲明所呈交的學(xué)像論文是我個(gè)人在導(dǎo)師搬導(dǎo)下進(jìn)行的研究工作及取縟 靜研究成采 盡我掰幫 豫了文中特弱燕班揀淀幫致瀣的麓方辯 論文串不 包含其他人已經(jīng)發(fā)表或撰寫過的研究成果 也不包含為獲得東南大學(xué)或麓它 教育桃橡的學(xué)位或誕書面使用過的毒手料 與我一圈工作的同志對(duì)本研究 j 唾傲 豹任穗薅獻(xiàn)均已在論文中作了明確的說明著表示了滾意 研究生簽名 i 蘭疊日期 望世 東南大學(xué)學(xué)位論文使用授權(quán)聲明 東南大學(xué) 中國科學(xué)技術(shù)信息研究所 國家圖書館有投縑窩本人所送交學(xué)位 論文的復(fù)印件和電子文檔 可以采用影印 縮印或其他復(fù)制手段保存論文 本人魄予文擋約內(nèi)容秘紙質(zhì)論文贍內(nèi)容籀一致 除在保密麓內(nèi)的保密論文 外 允許論文被查瀚和借闋 可以公布 包括聱j 登 論文靜眾部或部分內(nèi)容 論文的公布 包括刊登 授權(quán)東南大學(xué)研究生院辦理 研究生簽名 逛連 導(dǎo)師簽名 筮 網(wǎng)期 趔 第一章緒論 第一章緒論 1 1 入侵檢測(cè)及其實(shí)現(xiàn) 笪聯(lián)網(wǎng)絡(luò)自誕生馘來就一壹箍l 裕著安全問題 入侵者希望通過挖掘操作系統(tǒng)和皮朔程序 的弱點(diǎn)濺者缺陷 b u g 米侵入系統(tǒng) 入侵被定義為試圈破壞主機(jī)系統(tǒng)戚計(jì)算機(jī)網(wǎng)絡(luò)的機(jī)密性 完整性和可用性或繞過已經(jīng)存在的安全政策的行為 出于系統(tǒng)的復(fù)雜性 配置和管理上的錯(cuò) 誤 特投媚戶濫用權(quán)力 致使鍵多計(jì)籜搬系統(tǒng)都存在饕安全漏洞 印使采取最安全的保護(hù) 措施 計(jì)算機(jī)系統(tǒng)也不縫迭至 絕對(duì)安全 建立毪較黎蕩實(shí)現(xiàn)酌安全系統(tǒng) 再采翔入侵檢溯系 統(tǒng)作為嶷全輔助系統(tǒng)怒目前普遍采用方法 入侵檢測(cè) 1 是指通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)申是否有違反安眾策略的行為期被攻擊跡象的過程 按照分析數(shù)據(jù)的方 式不瓣 入授控彗 l 技零可囂分為 髯常檢涮窩滾蠲梭濺 入艇檢測(cè)鈞發(fā)展經(jīng)歷了以下幾個(gè)階段 最早的入侵檢測(cè)是系統(tǒng)管理員通過靛視器監(jiān)視 系統(tǒng)用戶的行為 通j 過發(fā)現(xiàn)用戶的異常行為來完成入侵檢測(cè) 2 0 馓紀(jì)七八十年代 人工審 計(jì)系統(tǒng)同志成為一種入侵檢測(cè)方法 但是由于信息黛的巨大和人工分析的效率低1 j 該方法 哭能稼為發(fā)生安全事傳蔟的一秘取渡方法 無法實(shí)驥瓣入經(jīng)的實(shí)時(shí)梭濺 九十年代警翹透過 程序寅時(shí)審計(jì)系統(tǒng)箕愨完成了對(duì)入鏝靜實(shí)時(shí)檢測(cè) 班上方法都逵基予主機(jī)系統(tǒng)豹 1 9 9 0 年 出現(xiàn)了通過網(wǎng)絡(luò)監(jiān)聽進(jìn)行入侵檢測(cè)的系統(tǒng) 1 9 9 1 年出現(xiàn)分布式入侵檢測(cè)體系 2 0 世紀(jì)9 0 年代中腑期入侵檢測(cè)的體系結(jié)構(gòu)的研究又有了許多發(fā)展 例如m a r k c r o s b i e 和g e n e s p a f f o r d 躲自治代理概念被廣泛接受 入投撿溺系統(tǒng)跫羽來發(fā)璦彝酶止入僮麓系統(tǒng) 囂囂通零將a 侵緞涮系統(tǒng)分秀鏊予主輥豹 入侵檢測(cè)系統(tǒng)h i d s h o s tb a s e di n t r u s i o nd e t e c t i o ns y s t e m 和熬子弼絡(luò)的入侵檢測(cè)系統(tǒng) n i d s n e t w o r kb a s e di n t r u s i o nd e t e c t i o ns y s t e m 基于主機(jī)的i d s 通常運(yùn)行在被保護(hù)主機(jī)上 通過分析主機(jī)的目志 進(jìn)程列表和進(jìn)輥的系統(tǒng)調(diào)用序列米進(jìn)行入侵檢測(cè) 基于網(wǎng)絡(luò)的入侵檢 測(cè)系統(tǒng)遺過分輯弱絡(luò)上的流量寒發(fā)瓣存在的久侵露為 1 2 論文研究背景 瓣蕊對(duì)滅棱撿測(cè)按謇疆究貔發(fā)鼴 窶瑗了誨多入經(jīng)撿測(cè)系統(tǒng) 瓣魏霹各穆 橙梭溺系統(tǒng) 的功能和性能評(píng)估也澎戒 需求 現(xiàn)有韻對(duì)入侵檢測(cè)系統(tǒng)評(píng)估研究的目的在于 1 給出對(duì) 特定i d s 系統(tǒng)的功能 性能的評(píng)估 使用入侵檢測(cè)系統(tǒng)的組織必須知道自己使用的入侵檢測(cè) 系統(tǒng)的二c 作效率如何 并且由此決定對(duì)此系統(tǒng)的依賴程度的火小 雌及是否需要使用其他的 安全措施 2 逶逑辯濺試結(jié)栗鮑分櫥 改進(jìn)入侵撩測(cè)的算法 3 總結(jié)現(xiàn)有舅法蕊不足 發(fā)現(xiàn)新麴入侵檢測(cè)算法 4 探討一釋統(tǒng)一豹測(cè)試方法和評(píng)話標(biāo)準(zhǔn) 評(píng)儲(chǔ)入侵檢測(cè)系統(tǒng)存在的難點(diǎn)為 鑒別一個(gè)特定i d s 系統(tǒng)將遇到的攻擊集越十分周難 甚至是不可行的 原閎有三 首先目前已知的攻擊技術(shù)的總數(shù)目十分巨大 其次一個(gè)特定的 i d s 系統(tǒng)不會(huì)遇到過去發(fā)現(xiàn)的所有攻擊 最后攻擊前會(huì)找尋系統(tǒng)新的漏洞 并且以此構(gòu)造糖 旋攻拳方法 i d s 豹王捧效率將受到萁贗在靜瓣絡(luò)中眾多條 孛麓彰噙 澄努統(tǒng)一豹 測(cè)試方法和評(píng)估標(biāo)準(zhǔn) 雖然u cd a v i s 分校提出了c i d f t 1 ec o m m o ni n t r u s i o nd e t e c t i o n 東南大學(xué)碩士學(xué)位論文 f r a m e w o r ka r c h i t e c t u r e i e t f 的i d w g 也提出了相應(yīng)的安全檢測(cè)框架模型 但是到目 前為止沒有入侵檢測(cè)系統(tǒng)的公認(rèn)框架標(biāo)準(zhǔn) 所以要針對(duì)實(shí)現(xiàn)各異的入侵檢測(cè)系統(tǒng)制定統(tǒng)一的 測(cè)試方法和評(píng)估標(biāo)準(zhǔn)十分困難 至今沒有研究機(jī)構(gòu)給出一種適用的評(píng)估框架 因此對(duì)于各種 入侵檢測(cè)系統(tǒng)沒有辦法做出有效的量化比較 構(gòu)造測(cè)試所需的網(wǎng)絡(luò)環(huán)境 背景數(shù)據(jù) 攻擊 數(shù)據(jù)以及對(duì)測(cè)試結(jié)果進(jìn)行分析是耗時(shí)和工作量巨大的 網(wǎng)絡(luò)的發(fā)展和新攻擊的不斷出現(xiàn)推動(dòng)了入侵檢測(cè)系統(tǒng)的發(fā)展和完善 入侵檢測(cè)系統(tǒng)的測(cè) 試技術(shù)也在不斷進(jìn)步 從9 0 年代中期 測(cè)試基于主機(jī)的入侵檢測(cè)系統(tǒng) 發(fā)展為測(cè)試基于網(wǎng) 絡(luò)的入侵檢測(cè)系統(tǒng) 測(cè)試混合型入侵檢測(cè)系統(tǒng) 目前的發(fā)展方向是測(cè)試具有協(xié)同和響應(yīng)功能 的大規(guī)模分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 測(cè)試所使用的方法也從提供主機(jī)的審計(jì)文件發(fā)展到提供 模擬網(wǎng)絡(luò)流量的靜態(tài)數(shù)據(jù)集 由離線的黑盒測(cè)試發(fā)展為在線的實(shí)時(shí)測(cè)試 測(cè)試平臺(tái)應(yīng)該能夠 提供各種特定場(chǎng)景和攻擊數(shù)據(jù) 具有模擬大規(guī)模網(wǎng)絡(luò)流景和分布式攻擊的能力 目前的測(cè)試 工作還側(cè)重于濫用檢測(cè)系統(tǒng)的測(cè)試 對(duì)于采用異常檢測(cè)算法 免疫學(xué)算法的新式系統(tǒng)的測(cè)試 方法還有待完善 a o l e s a d a p t a b l eo f f l i n ee v a l u a t i o ns y s t e m 是由華東北地區(qū)網(wǎng)絡(luò)中心設(shè)計(jì)的用于測(cè)試 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的測(cè)試平臺(tái) a o l e s 能夠根據(jù)需求生成多種網(wǎng)絡(luò)環(huán)境下的背景數(shù) 據(jù)流和特定的攻擊數(shù)據(jù)流 能夠?qū)⑸傻臄?shù)據(jù)集進(jìn)行播放和存儲(chǔ) 能夠利用存儲(chǔ)的數(shù)據(jù)進(jìn)行 重復(fù)測(cè)試 能夠?qū)y(cè)試數(shù)據(jù)進(jìn)行分析并給出測(cè)試結(jié)果 1 3 入侵檢測(cè)評(píng)估工作的現(xiàn)狀 隨著入侵檢測(cè)系統(tǒng)的不斷發(fā)展 對(duì)于i d s 系統(tǒng)的測(cè)試也相應(yīng)處于不斷發(fā)展之中 1 9 9 6 年n i c h o l a sj p u k e t z a 等人提出通過模擬被監(jiān)測(cè)系統(tǒng)上用戶的行為來測(cè)試i d s 系統(tǒng)的方法 1 9 9 8 1 9 9 9 年m i t 的l i c o l nl a b o r a t o r y 通過模擬美軍空軍基地的日常網(wǎng)絡(luò)流量進(jìn)行了 i d s 系統(tǒng)的兩次測(cè)試 2 0 0 0 年時(shí) m i t 在測(cè)試數(shù)據(jù)中加入了對(duì)于d d o s d i s t r i b u t e dd e n yo f s e r v i c e 攻擊的模擬 2 0 0 1 年t e r r e n c ec h a m p i o n 等人專門對(duì)于i d s 系統(tǒng)檢測(cè)d d o s 攻擊 的能力進(jìn)行了測(cè)量 同時(shí)還考慮了i d s 系統(tǒng)響應(yīng)功能的評(píng)測(cè) 與此同時(shí) 一些商業(yè)廠家也 給出了自己的入侵檢測(cè)系統(tǒng)韻評(píng)估方法 1 3 1n i c h o l a sj p u k e t z a 等人的工作 n i c h o l a sj p u k e t z a 等人的測(cè)試方法針對(duì)當(dāng)時(shí)已有的i d s 系統(tǒng) 提出檢測(cè)范圍 檢測(cè)的系 統(tǒng)開銷 高負(fù)荷下的檢測(cè)能力是三項(xiàng)通用評(píng)估指標(biāo) 并對(duì)應(yīng)三項(xiàng)指標(biāo)進(jìn)行了入侵鑒別測(cè)試 資源使用率測(cè)試 高負(fù)荷測(cè)試 每項(xiàng)測(cè)試包含兩個(gè)步驟 測(cè)試用例選擇和測(cè)試過程 測(cè)試用 例的選擇基于分類的方法 對(duì)已有攻擊進(jìn)行分類 然后從每一個(gè)類別中挑選一個(gè)攻擊用于測(cè) 試 測(cè)試在一個(gè)獨(dú)立的局域網(wǎng)上進(jìn)行 使 1 iu n i x 平臺(tái)上的e x p e c t 和t c l 來運(yùn)行一段腳本以 模擬一個(gè)計(jì)算機(jī)的用戶 同時(shí)運(yùn)行多個(gè)腳本就可以模擬出多個(gè)用戶使用多臺(tái)計(jì)算機(jī)的效果 通過組合不同的腳本 可以同時(shí)模擬正常用戶的行為和入侵者的行為 測(cè)試過程通過一些精 心設(shè)計(jì)的測(cè)試場(chǎng)景來實(shí)現(xiàn) 每一個(gè)測(cè)試場(chǎng)景均由下面的基本測(cè)試過程組合而成 1 創(chuàng)建或 者選擇測(cè)試腳本集 測(cè)試腳本集中的腳本描述了用于本次測(cè)試的正常用戶行為和攻擊行為 2 建立必要的測(cè)試環(huán)境 如創(chuàng)建測(cè)試環(huán)境中計(jì)算機(jī)之間系統(tǒng)級(jí)的底層通訊 3 啟動(dòng)i d s 4 運(yùn)行測(cè)試腳本 5 分析i d s 的輸山 通過對(duì)照i d s 的輸出與模擬攻擊行為的腳本可以 給出被 1 4i d s 的檢測(cè)率 通過測(cè)試過程中紀(jì)錄的資源使用狀況可以給出i d s 的資源使用率 n i c h o l a sj p u k e t z a 等人運(yùn)用上述測(cè)試方法對(duì)u cd a v i s 開發(fā)的n e t w o r ks e c u r i t ym o n i t o r n s m 2 第一章螭論 進(jìn)行了測(cè)試 測(cè)試結(jié)糶表明該測(cè)試方法能夠提供和i d s 性能相關(guān)的有用信息 但即使是針對(duì) 當(dāng)時(shí)的i d s 系統(tǒng)而言 該測(cè)試方法還存在一些缺陷 1 不能夠完全模擬使用圖形界面用戶 熬行冀 2 濺試方法是為捷矮灌弱羧測(cè)冀法熬i d s 浚詩麴 霹予攘羯異霉檢濺算法熬i d s 不適羽 n i c h o l a sj p u k e t z a 等人的方法的要點(diǎn)是設(shè)置了一綴番不相同的i d s 邋用的性能 目標(biāo) 使得測(cè)試工作不再是針對(duì)某個(gè)特定系統(tǒng) l 3 2m i t 熬王終 m 1 1 餉林肯實(shí)驗(yàn)室 l i n c o l nl a b o r a t o r y 在d a r p a 資助下所開展的i d s 評(píng)借一亡作是目 前國際上最為領(lǐng)先和兜魅的 他們?cè)? 9 9 8 年為研究入侵檢測(cè)系統(tǒng)贏進(jìn)行了第一次系統(tǒng)性的實(shí) 囂測(cè)試 雋參燕濺試靜6 個(gè)系統(tǒng)了鬟葦 l 封趣戇濺試鬈壤拳l 濺斌蘸數(shù)攘集 透過熏盒涮斌撰蜀 測(cè)試結(jié)聚 對(duì)鋇8 試緒糶的分析方面 m i t 通過使用接受者運(yùn)行特禚 r o c 藍(lán)線來搦示被測(cè)系 統(tǒng)檢測(cè)率和誤報(bào)率的函數(shù)關(guān)系 m i t 的測(cè)試數(shù)據(jù)模擬了一個(gè)美軍空馨基地的掃常嗣絡(luò)流量 通過使用由a f r l a i r f o r c e r e s e a r c h l a b o r a t o r y 修改過的u n i x 內(nèi)核 一個(gè)具有十幾臺(tái) e 作站 豹網(wǎng)絡(luò)掰以模擬出一個(gè)具有超過1 0 0 0 臺(tái)王作蛄鞠1 0 0 個(gè)用戶靛網(wǎng)絡(luò) 這個(gè)網(wǎng)絡(luò)縣髯掰個(gè)邏輯 部勢(shì) 內(nèi)部 弼鮐 基逢內(nèi)部 和 外部 翻知 i n t e r n e t 通過路由器實(shí)現(xiàn)互聯(lián) 林肯實(shí)黢室通過這個(gè)獨(dú)立的計(jì)算機(jī)剮絡(luò)制造了適應(yīng)性數(shù)據(jù)和測(cè)試數(shù)據(jù) 其中適應(yīng)性數(shù)據(jù)和測(cè) 試數(shù)據(jù)恩有相同的流墩特征 但是適應(yīng)性數(shù)據(jù)只含有已知的攻擊數(shù)搬 而測(cè)試數(shù)據(jù)中具有新 的攻擊數(shù)據(jù) 透應(yīng)性數(shù)撼用來對(duì)使用黲常檢測(cè)算法的系統(tǒng)進(jìn)行訓(xùn)練 麗鋇4 試數(shù)據(jù)用予正式測(cè) 試 9 8 每弱玫老糞鷲燕罄集孛在u n i x 贛壺程囊載竣蠢方瑟 測(cè)試籀維采表臻吝個(gè)靛濺系統(tǒng) 對(duì)于搛測(cè) p r o b e 和本地超戶權(quán)限竊取 u 2 r 攻擊的檢鍘情況眈較好 而對(duì)于遠(yuǎn)穰獲得本地 權(quán)限 r 2 1 和新型韻o o s 攻擊的檢測(cè)情況比較差 9 8 年的測(cè)試結(jié)糶袁明下一步的入侵檢測(cè) 研究不能只基于通過使用攻擊特征來榆測(cè)攻擊的方法 而是應(yīng)該研究能夠發(fā)現(xiàn)新攻擊的算 法 1 9 9 9 年有8 個(gè)系統(tǒng)參加了測(cè)試 菸中包括了使鯔髯常檢測(cè)算法的系統(tǒng) 9 9 年m 糟韻測(cè)試 沿用t 9 8 年的框架 假它涵蓋了更多的攻擊類型 9 9 年測(cè)試加入的新特征為 加入t n t 工作站作為被攻擊對(duì)致 背景數(shù)據(jù)中謝t n t 產(chǎn)生的數(shù)據(jù) 攻擊數(shù)據(jù)集中增加了對(duì)予n t 的攻 擊 增加了內(nèi)部攻擊 不再提供披攻擊主機(jī)上全部文件系統(tǒng)的d u m p 數(shù)據(jù) 只提供文件 系統(tǒng)羹鞭都分戇痿惑 因?yàn)楣魯?shù)據(jù)是被人為的混入背景數(shù)據(jù)的 因此攻擊數(shù)據(jù)沒有辦法和背景數(shù)據(jù)進(jìn)行交 互 例如棧溢出攻擊可以使被攻擊的w e b 服務(wù)器停止工作 但背景流量中和該w e b 服務(wù)器交互的數(shù)據(jù)可能還會(huì)繼續(xù)被播放 剔除背景流量中已有的攻擊數(shù)據(jù)同樣也是很困難的 2 2 5 模擬實(shí)際的網(wǎng)絡(luò)環(huán)境 通過測(cè)試平臺(tái)人工構(gòu)造背景流量 5 m i t 的林肯實(shí)驗(yàn)室采用了這種方式 精心構(gòu)造的測(cè)試數(shù)據(jù)模擬了一個(gè)美軍空軍基地的日 常網(wǎng)絡(luò)流量 使用測(cè)試平臺(tái)來生成測(cè)試數(shù)據(jù)是目前最為通用的測(cè)試方法 1 這種方法的 好處在于可以確認(rèn)背景流量中不會(huì)包含任何攻擊數(shù)據(jù) 測(cè)試的數(shù)據(jù)集可以被用于重復(fù)測(cè)試 由于不牽涉到隱私數(shù)據(jù) 測(cè)試的數(shù)據(jù)集也可以用于公開發(fā)布 缺點(diǎn)在于構(gòu)造一個(gè)測(cè)試平臺(tái)冉勺 花費(fèi)和工作量都很大 構(gòu)造的背景流量只能反映一個(gè)特定的網(wǎng)絡(luò)環(huán)境 例如m i t 模擬的網(wǎng)絡(luò) 拓?fù)浜唵?背景流量很小 不能用于測(cè)試n i d s 在各種網(wǎng)絡(luò)環(huán)境中的表現(xiàn) 雖然通過測(cè)試平臺(tái)人工構(gòu)造背景流量也存在一些問題 但是通過和其他4 種方法的比較 這種方法在實(shí)現(xiàn)難度和測(cè)試效果上是晶可行和晟實(shí)用的 2 3 測(cè)試指標(biāo)的選取 2 3 1 測(cè)試指標(biāo)的誤選 目前由于沒有統(tǒng)一的測(cè)試標(biāo)準(zhǔn) 很多機(jī)構(gòu)在選擇測(cè)試指標(biāo)的時(shí)候僅僅考慮自己設(shè)備的情 況 有些指標(biāo)甚至對(duì)測(cè)試結(jié)果產(chǎn)生誤導(dǎo) 例如有些機(jī)構(gòu)使用路由器等網(wǎng)絡(luò)設(shè)各的測(cè)試指標(biāo)端 口吞吐率來測(cè)試i d s 表2 吞吐率測(cè)試 1 系統(tǒng)端口到達(dá)流量攻擊流量在流量中的比例檢測(cè)率 j a 1 g b p s 1 0 8 0 1 b 1 g b p s 1 0 1 0 0 從表2 的數(shù)據(jù)米看 在相同的端口到達(dá)流量f 系統(tǒng)b 比系統(tǒng)a 具有更好的檢測(cè)率 但是通常i d s 只處理流量中的特定報(bào)文 所以到達(dá)i d s 端口的報(bào)文并不等于i d s 實(shí)際處理 9 東南大學(xué)碩士學(xué)位論文 的報(bào)文 i d s 實(shí)際處理的流量和i d s 的檢測(cè)算法有關(guān) 如果系統(tǒng)a 是對(duì)所有的報(bào)文按照會(huì) 話進(jìn)行重組后進(jìn)行分析 而b 系統(tǒng)只對(duì)特定協(xié)議和端1 3 的報(bào)文進(jìn)行分析 而測(cè)試時(shí)使用的 攻擊類型正好被b 系統(tǒng)的檢測(cè)范圍覆蓋 那么就會(huì)出現(xiàn)以上的結(jié)果 但是此時(shí)a 系統(tǒng)比b 系統(tǒng)處理了更多的網(wǎng)絡(luò)流量 并且比b 系統(tǒng)有更廣的檢測(cè)范圍 所以無法確定在實(shí)際使用 環(huán)境中b 系統(tǒng)的檢測(cè)能力會(huì)優(yōu)于a 系統(tǒng) 上面的例子說明在對(duì)i d s 進(jìn)行測(cè)試時(shí)要能夠確定 哪些測(cè)試指標(biāo)是不合適的 并選取一組合理的綜合指標(biāo) 2 3 2 測(cè)試指標(biāo)的漏選 由于i d s 的功能越來越復(fù)雜 因此在進(jìn)行i d s 測(cè)試的時(shí)候很難確認(rèn)需要測(cè)試哪些指標(biāo) 從而導(dǎo)致漏選了某些測(cè)試指標(biāo) 本文的研究發(fā)現(xiàn)如下測(cè)試指標(biāo)常常被i d s 測(cè)試忽略 1 規(guī)則容量和規(guī)則更新復(fù)雜度的指標(biāo) 目前的i d s 大都使用濫用檢測(cè)算法 因此需要通過規(guī)則來描述異常行為 規(guī)則數(shù)的多 少了決定了i d s 的檢測(cè)范圍 但是規(guī)則數(shù)的增加和更新規(guī)則是否會(huì)對(duì)i d s 的處理能力造成 影響很少有測(cè)試來進(jìn)行衡量 通常情況下較小的規(guī)則集會(huì)使i d s 具有較高的處理能力 圖2 n i d s 的實(shí)現(xiàn)邏輯 如圖2 所示 n i d s 通常具有報(bào)文采集 報(bào)文過濾 報(bào)文分類 報(bào)文拼裝和特征匹配幾 個(gè)邏輯層次 在實(shí)現(xiàn)這些功能的時(shí)捩要依靠軟硬件的合作來完成 各種n i d s 在實(shí)現(xiàn)這些邏 輯功能層次的時(shí)候 軟硬件分工的界限不同 i d s 在檢測(cè)過程中要用到如h a s h 模式匹配等 關(guān)鍵算法 而這些算法也可以分別通過硬件和軟件實(shí)現(xiàn) 硬件實(shí)現(xiàn)的優(yōu)點(diǎn)是 可以有較高的 運(yùn)算速度 系統(tǒng)c p u 資源耗費(fèi)小 但是缺點(diǎn)在于相應(yīng)的規(guī)則容量小 更新復(fù)雜 軟件實(shí)現(xiàn)的 優(yōu)點(diǎn)是 可以支持很大的規(guī)則數(shù)目 規(guī)則更新速度快 但是缺點(diǎn)是運(yùn)算速度和硬件有數(shù)量級(jí) 上的差異 對(duì)于系統(tǒng)的資源耗費(fèi)量很大 由于以上的特點(diǎn) 對(duì)于只配置少數(shù)規(guī)則的單項(xiàng)測(cè)試 靠硬件實(shí)現(xiàn)的系統(tǒng)在性能上比靠軟件實(shí)現(xiàn)的系統(tǒng)優(yōu)越 但是如果要實(shí)現(xiàn)規(guī)則的動(dòng)態(tài)更新 靠 軟件實(shí)現(xiàn)的系統(tǒng)在性能上比靠硬件實(shí)現(xiàn)的系統(tǒng)優(yōu)越 所以規(guī)則容量和規(guī)則更新復(fù)雜度的測(cè)昔 可以綜合衡量各種系統(tǒng)實(shí)現(xiàn)方法 一一v圜且一童 螢一v烈兒一 第二肇入 受檢測(cè)系統(tǒng)涮譴方睦 2 1 系繞的可靠性指標(biāo) 系統(tǒng)的質(zhì)量指標(biāo)包括性能指標(biāo)和可靠性指標(biāo)兩類 目前對(duì)于i d s 的測(cè)試只進(jìn)行了性能 揍蠡鶼涮慧 共浚奏遵瑟可靠性指標(biāo)鶼測(cè)量 i d s 宙嬡傳幫菰俘囂個(gè)辯分組成 軟黲耨分x 包括搡作系統(tǒng)和i d s 的應(yīng)用軟 串 磷件和操作系統(tǒng)鮑可靠性指標(biāo)邋常自提供商提供 不需 要進(jìn)行專門的測(cè)量 翻此對(duì)于i d s 可靠性的測(cè)量主簧是對(duì)j d s 的戚用軟件的可靠性進(jìn)行測(cè) 量 i s o9 0 0 1 是應(yīng)用于軟件工程的質(zhì)鬣保證標(biāo)準(zhǔn) 譙該標(biāo)準(zhǔn)中使用系統(tǒng)的平均無故障運(yùn)行 時(shí)間 m t b f m e a n 強(qiáng)m eb e t w e e nf a i l u r e 來測(cè)量軟l 譬系統(tǒng)的可靠譙 一個(gè)系統(tǒng)豹m t b f 可 能掇長 無法透過直接測(cè)量褥至l 稅據(jù)較籜測(cè)試?yán)碚?癱翔軟鐸靜平均無數(shù)簿運(yùn)褥對(duì)聞幫 圈3 的x 宜接相關(guān) 削w 蟄 r a t e 強(qiáng)3 漆筮麴凌 圖3 被稱為 浴盆曲線 是通過大餐軟件系統(tǒng)的測(cè)試數(shù)據(jù)得出的 階段2 是軟件系統(tǒng)的穩(wěn) 定運(yùn)行期 在這個(gè)階段中可以認(rèn)為軟件骶統(tǒng)出現(xiàn)故障的概率x 為一個(gè)常數(shù) 參加測(cè)試的i d s 的痤角軟 睪被認(rèn)為處于除段2 導(dǎo)致被測(cè)試軟件系絨避入故障狀態(tài)的主導(dǎo)因素是軟傳系統(tǒng)中 漶含的b u g 寢據(jù)對(duì)大攮軟俘系統(tǒng)溺試結(jié)暴約統(tǒng)詩 款待系統(tǒng)麴擎筠無藏簿遮抒露閆 1 m b t f 二 具體的計(jì)算方法不是本文的研究內(nèi)容 因此不做討論 這樣只要確定貉數(shù) 丑 就可以算出潞t f 研以用如下方法確定 l 由殍發(fā)強(qiáng)俸的囂發(fā)筑力決定 遺過分輯該愛傣以鑣牙蓑的軟搏的m b t f 可釷褥囊x 鮑 韜計(jì)僮 2 邋溉高強(qiáng)度和加速測(cè)試得到的數(shù)據(jù) 利用參數(shù)估計(jì)的方法得出 2 4 本章小結(jié) 本章對(duì)已有的入侵檢測(cè)測(cè)試方法進(jìn)行了研究 從最早進(jìn)行入侵檢測(cè)系統(tǒng)的測(cè)試j 二作至 今 對(duì) f 采用離線測(cè)試還是實(shí)時(shí)測(cè)試就存在著爭(zhēng)論 率章總結(jié)了兩種商法的優(yōu)缺點(diǎn) 并通過 比較指出構(gòu)造測(cè)試平臺(tái) 通過測(cè)試平臺(tái)根據(jù)測(cè)試需求離線構(gòu)造測(cè)試數(shù)據(jù)用于測(cè)試是一種比較 磐豹方案 本章還對(duì)a 較撿涮系統(tǒng)弱潮基王作中死個(gè)對(duì)灞試縫果毫繁鬃影瘸熬翔瑟逡行了討 論 在測(cè)試過程中背景流量的應(yīng)用方式對(duì)測(cè)試結(jié)栗脊蘸要的影響 不使用背景流登必能進(jìn)行 功能測(cè)試 不能反映被測(cè)系統(tǒng)在實(shí)際環(huán)境中的工作情況 使用重復(fù)相同的或隨機(jī)的背景流量 不適用于測(cè)試進(jìn)行協(xié)議內(nèi)容分析的i d s 系統(tǒng) 使用從真實(shí)環(huán)境中來粲的背景流避 測(cè)試結(jié) 果會(huì)受到鶩景流量中來稚數(shù)據(jù)的于擾 熊牽涉到數(shù)攢豹縫私目題 馕翊測(cè)試平臺(tái)援挫實(shí)際縋 疆絡(luò)瀛虢是一靜報(bào)好的鰓凌方案 可以根據(jù)濺試i d s 的各靜需求是鍘測(cè)試鼗囂 測(cè)試數(shù)據(jù) 也可以被用于功能測(cè)試和公開發(fā)布 夕 一 j 蚺 r 一糯 象穗 犬學(xué)疆圭學(xué)霞論文 本章對(duì)目前測(cè)試中存在的問題進(jìn)杼了研究 指出對(duì)i d s 的測(cè)試酋先需要合理選取測(cè)試 指標(biāo) 在實(shí)際測(cè)試中存程測(cè)試指標(biāo)誤選靼測(cè)試指標(biāo)漏逸的情況 本文通過一個(gè)例子表明不合 理戇測(cè)試獾標(biāo)將產(chǎn)生鏤謨戇濺試縫象 i d s 翁巍剮褰爨和更贛復(fù)雜度 i d s 魏可靠羧是曩蔻 大多數(shù)測(cè)試忽路韻指標(biāo) 規(guī)剮容量和囊新復(fù)雜度和i d s 實(shí)際處理能力直接相關(guān) 廊該被仔 細(xì)的測(cè)鬣 i d s 的可靠性指標(biāo)雖然不能反映i d s 的梭測(cè)能力的好壞 但是反映了i d s 的可 t i i j 性 因此在實(shí)際測(cè)試中也應(yīng)該包含誠指標(biāo) 第三章入侵檢測(cè)系統(tǒng)評(píng)估指標(biāo) 第三章入侵檢測(cè)系統(tǒng)評(píng)估指標(biāo) 入侵檢測(cè)系統(tǒng)作為一種新型的網(wǎng)絡(luò)設(shè)備在功能上與路由器或防火墻等傳統(tǒng)的網(wǎng)絡(luò)設(shè)備 有著很大的區(qū)別 因此對(duì)于入侵檢測(cè)系統(tǒng)的評(píng)估也不能沿用已有的測(cè)試傳統(tǒng)網(wǎng)絡(luò)設(shè)備的指 標(biāo) 例如端1 2 吞吐量 報(bào)文轉(zhuǎn)發(fā)速率等 對(duì)于入侵檢測(cè)系統(tǒng)進(jìn)行評(píng)估首先需要確認(rèn)使用哪些 指標(biāo)進(jìn)行評(píng)估 3 1 重要的評(píng)估指標(biāo) 要能夠?qū) d s 進(jìn)行系統(tǒng)的評(píng)估t 必須提供一組量化測(cè)試指標(biāo) 這些指標(biāo)能夠從功能 性能并 穩(wěn)定性方面測(cè)試i d s 本文根據(jù)已有的入侵檢測(cè)系統(tǒng)的評(píng)估經(jīng)驗(yàn) 和上一章討論的若 干問題 總結(jié)出以f 一組重要的評(píng)估指標(biāo) 3 1 1 功能指標(biāo) 1 檢測(cè)范圍 目前所有入侵檢測(cè)系統(tǒng)的測(cè)試都含有該指標(biāo) 該指標(biāo)測(cè)試在理想的情況下i d s 能夠檢 測(cè)到的攻擊數(shù)量 對(duì)于基于特征匹配的i d s 該指標(biāo)檢測(cè)i d s 支持的匹配規(guī)則數(shù)和將實(shí)際攻 擊映射到規(guī)則的能力 對(duì)于基于異常檢測(cè)的i d s 來說 由于只定義了正常的行為集合 因 此很難確定具體的檢測(cè)范圍 在實(shí)際測(cè)試中比較兩個(gè)i d s 的檢測(cè)范圍存在以下問題 1 i d s 對(duì)于攻擊的描述各不相同 無法確認(rèn)不同的i d s 是否檢測(cè)出了同一個(gè)攻擊 該問題 最好的解決方法是要求i d s 使用c v e c o m m o nv u l n e r a b i l i t ya n de x p o s u r e 來描述攻擊 c v e 是己知攻擊或漏洞的標(biāo)準(zhǔn)化描述 2 直接比較檢測(cè)范圍的大小沒有意義 因?yàn)椴煌挠脩魧?duì)于不同的攻擊的側(cè)重程度不伺 單純的看i d s 的檢測(cè)范圍的大小不能反映i d s 對(duì)用戶需求的滿足程度 2 檢測(cè)率 該指標(biāo)測(cè)試i d s 在特定環(huán)境和特定時(shí)間段內(nèi)正確檢測(cè)出攻擊的比率 測(cè)試該指標(biāo)存在著以下難點(diǎn) 1 i d s 對(duì)于攻擊的檢測(cè)率依賴于測(cè)試時(shí)使用的攻擊集合 2 i d s 對(duì)于攻擊的檢測(cè)率和誤報(bào)率相關(guān) 通常情況下檢測(cè)率越高 誤報(bào)率也越高 閎此在 對(duì)比測(cè)試的時(shí)候應(yīng)該是在相同的誤報(bào)率水平上比較t d s 的檢測(cè)率 3 i d s 對(duì)于攻擊的檢測(cè)率依賴于發(fā)起攻擊的方式 對(duì)于同一種攻擊 在直接發(fā)起該攻擊的 情況下被測(cè)f d s 可以檢測(cè)出 但是當(dāng)經(jīng)過偽裝之后被測(cè)i d s 就無法檢測(cè)出 通常所用的 偽裝技術(shù)有 報(bào)文分片 報(bào)文內(nèi)容編碼 使用非正常的t c p 標(biāo)志 報(bào)文加密 分布攻擊 到多個(gè)會(huì)話中 從多個(gè)源點(diǎn)發(fā)起攻擊 1 3 誤報(bào)率 該指標(biāo)測(cè)試i d s 在特定環(huán)境和特定時(shí)間段內(nèi)錯(cuò)誤檢測(cè)攻擊的比率 誤報(bào)是指i d s 對(duì)正 棗掰大學(xué)碩士學(xué)馥玲文 常網(wǎng)絡(luò)流量做出的錯(cuò)談報(bào)警 測(cè)試該揩標(biāo)存在著以下難點(diǎn) 1 i d s 的誤報(bào)率依賴于工作的網(wǎng)絡(luò)環(huán)境 不存在標(biāo)準(zhǔn)的網(wǎng)絡(luò)環(huán)境供測(cè)試使用 2 耍確定霹終流量秘烹撬滔磚孛攝蠢鏈夠健l i d s 產(chǎn)壘誤攝翦方囊卡努困難 3 有狠多和實(shí)際環(huán)境相關(guān)的調(diào)整和粼置方法可醴降低i d s 的誤報(bào)攀 但是狠難決定在測(cè)試 時(shí)成該使用哪種配鼴 4 r e c e i v e ro p e r a t i n gc h a r a c t e r i s t i c r o c 基m e 1 5 l r o c 藩線是m i t 撬出麓一種愛疑被涮i d s 靜梭測(cè)率幫誤擐率關(guān)系豹指標(biāo) 盎予該指標(biāo) 能夠給出在不同誤報(bào)宰情況下的t d s 的檢測(cè)率 因此在i d s 測(cè)試中熱有很重要的地位 圍4 r o c 曲線 圈4 繚出了兩個(gè)i d s 系統(tǒng)靜r o c 曲線 x 軸繪出了淵試時(shí)誤撤靜攻擊數(shù)占總攻擊數(shù)的 百分比 y 軸給出了在特定誤報(bào)率時(shí)系統(tǒng)正確檢測(cè)出的攻擊數(shù)占總攻擊數(shù)的百分比 根據(jù)圖 爭(zhēng)可以看出系統(tǒng)1 的棱測(cè)率和誤報(bào)率的相關(guān)性要小于系絨2 因此通過調(diào)整參數(shù) 系統(tǒng)1 可 以在1 6 的誤報(bào)率水平1 f 達(dá)到s 0 嫠j 梭測(cè)率 麗系統(tǒng)2 在1 6 豹談撤率承平f 只自 達(dá)到4 0 靜梭濺率 透過r o c 整線可菇囊瓣豹反歇出 1 0 s 系統(tǒng)諼報(bào)率鞠檢涮率煞關(guān)系 麩孬 霉 出被測(cè)i d s 在實(shí)際工作環(huán)境中的可操作性 5 對(duì)米知攻擊的檢測(cè)能力 該糖標(biāo)濺試i d s 對(duì)予獲未逶劐避瓣攻壺縋撿溯撩力 該擺稼爨m i t 靜濺試王 睪營先g 入 2 0 0 0 年以前i d s 測(cè)試中使用的攻擊類型大多數(shù)為基于u n i x 平臺(tái)豹攻擊 德是隨著 w i n d o w s 系統(tǒng)的發(fā)展 特別是w i n d o w s2 0 0 0 的大量使用 出現(xiàn)了徽多針對(duì)于w i n d o w s 系統(tǒng) 的未知攻擊 針對(duì)w i n d o w s 平臺(tái)的米知攻擊出現(xiàn)速度快且種類繁多 因此目前的i d s 必須 具有較好鼴識(shí)別未知攻鷹的能力 對(duì)予使用特征檢測(cè)救系統(tǒng)來說這項(xiàng)搓標(biāo)的意義譽(yù)大 因?yàn)?這類系絞只能檢測(cè)其蠢特定特征靜已知攻擊 毽是辯予使翊吳常梭溯籜法豹穰多磷究系統(tǒng) 該指標(biāo)能夠反映異常梭測(cè)算法的好壞 6 對(duì)于攻擊的標(biāo)識(shí)麓力 該攘褥測(cè)試1 d s 對(duì)檢測(cè)窶載玻懣躲稼璦軀力 梭濺i d s 是否戇夠透過一秘遴懲豹攻擊 或漏洞鼬名字來標(biāo)識(shí)攻擊或僅僅是對(duì)敬擊給出類別信息 從檢測(cè)的角度來看 攻擊特征描述 1 4 第三章入授撿潮拳縫譯侮蹭耘 鵑越清楚 越商魏予降繇謨?nèi)谅?麩瓣試鵲受襲來看 瓣予玫毒播述戇統(tǒng)一豫釋怒范他將大 大降低評(píng)分工作的難度 提高評(píng)分的準(zhǔn)確性 7 確認(rèn)攻擊避番成功的姥力 該指糖測(cè)試i d s 是孬裁撿濺到對(duì)于遠(yuǎn)程系統(tǒng)的一個(gè)玻盎戇結(jié)果 擻多i d s 只蕤授測(cè)出 攻擊的特褫 但是不能區(qū)分攻擊的結(jié)果魑成功述是失敗 具有該功能的i d s 能夠有效的降 低誤報(bào)率 該指標(biāo)的測(cè)量也有助于分析i d s 對(duì)于攻擊的綜合和響應(yīng)能力 8 安全棗摶的綜臺(tái)能力 該措櫟顙4 試i d s 對(duì)梭測(cè)出躺安全事律進(jìn)抒分析懿縫力 隨著攻蠢技術(shù)羽發(fā)震 竣卷行 為變的越來越復(fù)雜 一次攻擊被往會(huì)產(chǎn)生多個(gè)安全事件 該指標(biāo)測(cè)試i d s 魑否能夠?qū)⒂新?lián) 系熬安全棗律進(jìn)行關(guān)聯(lián)從囂撿瀏出復(fù)雜麴蝗毒 例如燧敷 9 對(duì)予玻是的羧罄能力 該指標(biāo)測(cè)試i d s 是否能對(duì)即將發(fā)生的攻擊或?qū)σ呀?jīng)殲始的攻擊行為的下 個(gè)步驟做出 準(zhǔn)確的預(yù)測(cè) 具謝預(yù)警功能冉勺i d s 為主渤晌癜提供了條件 從而能更肖散的確保被保護(hù)系 統(tǒng)瀚正常運(yùn)囂 3 1 2 性能指標(biāo) 大背景流最 f 的檢濺能力 該搔撅鞭l 試在離強(qiáng)凌瓣鶩最漩量下i d s 的芏捧績?cè)?綴多基于穗辮匏i d s 在流爨增犬 時(shí)開始出域甚包 因此引越漏報(bào) 當(dāng)流鬃選到菜一個(gè)閥值時(shí) i d s 系統(tǒng)由干資源耗盡而停止 檢測(cè)攻擊 該指標(biāo)也能夠殷映出i d s 在遒受到拒絕服務(wù)攻擊肘的工作情況 2 規(guī)則容艇和更新復(fù)雜度指標(biāo) 2 3 2 節(jié)對(duì)該撞標(biāo)進(jìn)行了討論 該指標(biāo)用予友映i d s 猩大瓣m 集會(huì)藏靛剎嵩速更新儲(chǔ)凝 f 的 作能力 該規(guī)則能夠測(cè)鬣 d s 的檢測(cè)算法在實(shí)現(xiàn)中的工作情況 3 1 3 系統(tǒng)的可靠瞧指標(biāo) i d s 作為保護(hù)主機(jī)和網(wǎng)絡(luò)的必鍵性設(shè)餐 自身必須具有很商的可靠性 該指標(biāo)測(cè)試i d s 耱夠穩(wěn)定燹數(shù)醛運(yùn)行鷯乎溜辯潤疆及在各辯特稼環(huán)境審i d s 靜穩(wěn)定瞧 測(cè)試該指標(biāo)鵑雉煮 在于 對(duì)于越夠長時(shí)間運(yùn)行的設(shè)鍪 無法通過或接測(cè)量的手段得到設(shè)備的平均薏故障運(yùn)行時(shí) 黼 s 東南大學(xué)碩士學(xué)位論文 3 2 入侵檢測(cè)系統(tǒng)評(píng)估指標(biāo)集 3 2 1 入侵檢測(cè)系統(tǒng)評(píng)估指標(biāo)集的作用 對(duì)于各種評(píng)估指標(biāo)進(jìn)行合理的綜合運(yùn)用 才能客觀的反映被評(píng)估i d s 的功能和性能 完善的入侵檢測(cè)系統(tǒng)評(píng)估指標(biāo)集可以對(duì)不同的入侵檢測(cè)系統(tǒng)進(jìn)行定量的 可重復(fù)的測(cè)試 由 于沒有統(tǒng)一的評(píng)估指標(biāo)集合 目前很多機(jī)構(gòu)進(jìn)行的評(píng)估工作僅僅選取幾個(gè)指標(biāo)對(duì)參與評(píng)測(cè)的 入侵檢測(cè)系統(tǒng)進(jìn)行對(duì)比或非量化測(cè)試 2 9 是目前可以見到的最為完整的一套入侵檢測(cè)系 統(tǒng)評(píng)估指標(biāo) 3 2 2 本文制定的入侵檢測(cè)系統(tǒng)評(píng)估指標(biāo)集 論文對(duì)目前國內(nèi)外各種機(jī)構(gòu)給出的評(píng)估指標(biāo)進(jìn)行總結(jié) 歸納給出以下一個(gè)較為全面和通 用的測(cè)試指標(biāo)集 測(cè)試指標(biāo)分為三個(gè)部分 基本指標(biāo)為i d s 必須滿足的要求 功能指標(biāo)反 映了i d s 應(yīng)該具備的功能要求 性能指標(biāo)反映了i d s 應(yīng)該具有的性能要求 表格中n i d s 表示基于網(wǎng)絡(luò)的i d s h i d s 表示基于主機(jī)的i d s 通用指標(biāo)表示該指標(biāo)對(duì)n